Lots Policy Controller

Cette page décrit les groupes Policy Controller et présente les groupes de règles disponibles.

Vous pouvez utiliser Policy Controller pour appliquer des contraintes individuelles à votre cluster ou écrire vos propres règles personnalisées. Vous pouvez également utiliser des groupes de règles, ce qui vous permet d'auditer vos clusters sans écrire de contraintes. Les bundles de règles sont un groupe de contraintes qui peuvent vous aider à appliquer les bonnes pratiques, à répondre aux normes du secteur ou à résoudre des problèmes réglementaires pour l'ensemble de vos ressources de cluster.

Vous pouvez appliquer des groupes de règles à vos clusters existants pour vérifier si vos charges de travail sont conformes. Lorsque vous appliquez un lot de règles, il audite votre cluster en appliquant des contraintes avec le type d'application dryrun. Le type d'application dryrun vous permet d'afficher les cas de non-respect sans bloquer vos charges de travail. Il est également recommandé d'utiliser uniquement les actions coercitives warn ou dryrun sur les clusters avec des charges de travail de production, lorsque vous testez de nouvelles contraintes ou lorsque vous effectuez des migrations telles que la mise à niveau de plates-formes. Pour en savoir plus sur les mesures coercitives, consultez la page Effectuer des audits à l'aide de contraintes.

Par exemple, le groupe de benchmark CIS de Kubernetes est un type de groupe de règles, qui peut vous aider à évaluer les ressources de votre cluster vis-à-vis du benchmark CIS de Kubernetes. Ce benchmark est un ensemble de recommandations permettant de configurer les ressources Kubernetes de manière à garantir un niveau de sécurité élevé.

Les bundles de règles sont créés et gérés par Google. Pour en savoir plus sur la couverture de vos règles, y compris par lot, consultez le tableau de bord Policy Controller.

Les groupes de règles sont inclus dans une licence de l'édition Google Kubernetes Engine (GKE) Enterprise.

Lots de Policy Controller disponibles

Le tableau suivant répertorie les groupes de règles disponibles. Sélectionnez le nom du groupe de règles pour lire la documentation sur l'application du groupe, l'audit des ressources et l'application des règles.

La colonne Alias de bundle indique le nom de jeton unique du bundle. Cette valeur est nécessaire pour appliquer un groupe avec les commandes Google Cloud CLI.

La colonne Version la plus ancienne incluse indique la version la plus ancienne du bundle disponible avec Policy Controller. Cela signifie que vous pouvez installer ces groupes directement. Dans n'importe quelle version de Policy Controller, vous pouvez toujours installer n'importe quel bundle disponible en suivant les instructions indiquées dans le tableau.

Nom et description Alias de bundle Première version incluse Type Inclut des contraintes référentielles
Benchmark CIS de GKE : auditez la conformité de vos clusters vis-à-vis du benchmark CIS de GKE v1.5, un ensemble de contrôles de sécurité recommandés pour la configuration de Google Kubernetes Engine (GKE). cis-gke-v1.5.0 1.18.0 Kubernetes standard Oui
Benchmark CIS de Kubernetes : auditez la conformité de vos clusters vis-à-vis du benchmark CIS de Kubernetes v1.5, un ensemble de recommandations permettant de configurer Kubernetes pour garantir un niveau de sécurité élevé. cis-k8s-v1.5.1 1.15.2 Kubernetes standard Oui
Benchmark CIS de Kubernetes (version preview) : auditez la conformité de vos clusters vis-à-vis du benchmark CIS de Kubernetes v1.7, un ensemble de recommandations permettant de configurer Kubernetes pour garantir un niveau de sécurité élevé. cis-k8s-v1.7.1 non disponible Kubernetes standard Oui
Coût et fiabilité : le lot Coût et fiabilité aide à adopter les bonnes pratiques pour exécuter des clusters GKE économiques sans compromettre les performances ou la fiabilité des charges de travail. cost-reliability-v2023 1.16.1 Bonnes pratiques Oui
MITRE (aperçu) : le lot de règles MITRE permet d'évaluer la conformité de vos ressources de cluster par rapport à certains aspects de la base de connaissances MITRE sur les tactiques et les techniques des attaquants à partir d'observations réelles. mitre-v2024 non disponible Norme du secteur Oui
Règle de sécurité des pods : appliquez des protections basées sur la stratégie de sécurité des pods (PSP) de Kubernetes. psp-v2022 1.15.2 Kubernetes standard Non
Référence des normes de sécurité des pods : appliquez des protections basées sur la règle de référence des normes de sécurité des pods de Kubernetes (PSS). pss-baseline-v2022 1.15.2 Kubernetes standard Non
Normes de sécurité des pods limitées : appliquent des protections basées sur la règle de restriction des normes de sécurité des pods de Kubernetes (PSS). pss-restricted-v2022 1.15.2 Kubernetes standard Non
Sécurité d'Anthos Service Mesh : auditez la conformité de vos failles de sécurité et des bonnes pratiques de sécurité dans Anthos Service Mesh. asm-policy-v0.0.1 1.15.2 Bonnes pratiques Oui
Principes essentiels des règles : appliquez les bonnes pratiques à vos ressources de cluster. policy-essentials-v2022 1.14.1 Bonnes pratiques Non
NIST SP 800-53 Rev. 5 : le lot NIST SP 800-53 Rev. 5 implémente les contrôles listés dans la publication spéciale (SP) 800-53, révision 5 du NIST. Ce bundle peut aider les entreprises à protéger leurs systèmes et leurs données contre diverses menaces en mettant en œuvre des règles de sécurité et de confidentialité prêtes à l'emploi. nist-sp-800-53-r5 1.16.0 Norme du secteur Oui
NIST SP 800-190 : le lot NIST SP 800-190 met en œuvre les contrôles répertoriés dans la publication spéciale (SP) 800-190 du NIST "Application Container Security Guide". Il vise à aider les organisations à gérer la sécurité des conteneurs d'applications, y compris la sécurité des images, la sécurité de l'environnement d'exécution des conteneurs, la sécurité du réseau et la sécurité du système hôte, pour n'en citer que quelques-unes.  nist-sp-800-190 1.16.0 Norme du secteur Oui
Guide de renforcement Kubernetes NSA CISA v1.2 : appliquez des protections basées sur le guide de renforcement Kubernetes NSA CISA v1.2. nsa-cisa-k8s-v1.2 1.16.0 Norme du secteur Oui
PCI-DSS v3.2.1 (obsolète) : appliquez des protections basées sur la norme PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. pci-dss-v3.2.1 ou pci-dss-v3.2.1-extended 1.15.2 Norme du secteur Oui
PCI-DSS v4.0 : appliquez des protections basées sur la norme PCI-DSS (Payment Card Industry Data Security Standard) v4.0. pci-dss-v4.0 non disponible Norme du secteur Oui

Étapes suivantes